Android 的一个缺陷允许应用程序使用智能手机的摄像头和麦克风监视您。他们可以在未经授权的情况下拍摄照片、录制视频甚至您的谈话。数据在用户不知情的情况下直接传输到第三方服务器。
Android 需要特定权限允许应用程序访问智能手机的摄像头和麦克风。然而,安全公司 Checkmarx 的研究人员发现的一个缺陷使得绕过权限并悄悄监视用户成为可能。此漏洞有参考CVE-2019-2234 触摸谷歌相机,三星相机应用程序以及其他品牌的潜在产品。作为概念验证,Checkmarx 开发了一款天气应用程序,与任何其他应用程序一样,可以从 Play 商店下载。
安装后,可以即使屏幕关闭也可以拍照和录制视频或者智能手机被锁定。否则,当恶意应用程序关闭时,该情况会正常进行。一切都是谨慎完成的,不会触发闪光灯或拍照时发出的声音。该缺陷还允许从照片和视频元数据中检索 GPS 位置。摄像头并不是唯一受此漏洞影响的组件。
根据 Checkmarx 的说法,攻击者还可以未经许可访问麦克风并录音电话以及围绕用户所说的一切。然后数据被传输到第三方服务器。最后,还可以列出并恢复存储在 SD 卡上的所有 JPG 照片或 MP4 视频。
另请阅读——Android:一个安全漏洞可以让你监视你的所有通话
三星和谷歌已部署修复程序
Checkmarx 去年 7 月向谷歌和三星报告了其发现。 11 月 19 日发布该报告后,谷歌在一份声明中表示,“该问题已通过部署到 Play 商店的更新得到解决。所有合作伙伴都可以使用修复程序。”三星还表示,已对其所有智能手机应用了补丁,但未具体说明何时完成。
除了谷歌和三星之外,报告没有具体说明哪些其他制造商可能受到此漏洞的影响,也没有其他品牌确认受到影响。无论如何,Android 设备用户应确保他们安装了最新的系统和相机应用程序更新。
来源 :检查马克思
